Panoramica
Syslog viene utilizzato su una varietà di server / dispositivi per fornire informazioni di sistema all'amministratore di sistema. Fuori è la voce Wiki:
Syslog is a standard for computer data logging. It allows separation of the software that generates messages from the system that stores them and the software that reports and analyzes them.
Syslog can be used for computer system management and security auditing as well as generalized informational, analysis, and debugging messages. It is supported by a wide variety of devices (like printers and routers) and receivers across multiple platforms. Because of this, syslog can be used to integrate log data from many different types of systems into a central repository.
Per toccare queste informazioni, si potrebbe:
- Connetti al server / dispositivo. Dove il come, può cambiare da dispositivo a dispositivo e, se possibile, da dove l'amministratore è in relazione al firewall che protegge il bene.
- Trova il file Syslog. Quale potrebbe essere in una posizione leggermente diversa a seconda del sistema / dispositivo a cui si accede. Ad esempio, su Debian questo è "/ var / log / syslog" e su DD-WRT è "/ var / log / messages" (quasi come se solo a dispetto …).
- Utilizzare un'utilità di visualizzazione file disponibile. Anche in questo caso potrebbe essere leggermente diverso a seconda di ciò che è disponibile sul sistema. Ad esempio su Busybox l'utilità "less" non è l'implementazione GNU completa e in quanto tale manca la funzione "Scroll forward" (+ F).
L'alternativa sarebbe impostare un programma di raccolta Syslog e fare in modo che i server / dispositivi Sysloging inviino gli eventi.
Prerequisiti e ipotesi
- Un dispositivo che supporta Sysloginging remoto. In questo articolo useremo DD-WRT come esempio.
- Syslog utilizza la porta 514 UDP e, come tale, deve essere raggiungibile dal dispositivo che invia le informazioni al raccoglitore.
- Alcune conoscenze di base sulla rete sanno come si assume.
Imposta il raccoglitore Syslog
Per raccogliere gli eventi, è necessario avere un server Syslog. Mentre ci sono una moltitudine di opzioni come "Kiwi" e "PRTG" per menzionarne alcune, abbiamo scelto di utilizzare "Syslog Watcher".
Nota: si raccomanda che il server di raccolta utilizzi un IP che non cambierà, assegnandolo staticamente o riservandolo in DHCP.
- Scarica l'ultimo Syslog Watcher.
- Installa nel normale "next -> next -> finish" fashion.
- Aprire il programma dal "menu Start".
- Quando viene richiesto di selezionare la modalità di funzionamento, selezionare: "Gestisci server Syslog locale".
- Se richiesto da Controllo account utente Windows, approvare la richiesta di diritti amministrativi.
- Avvia il servizio facendo clic sul grande pulsante "Riproduci" in alto a sinistra.
Mentre è possibile configurare ulteriormente il programma, ad esempio, come mostrato nei tutorial video, non ne possiedi troppo ed è pronto per essere lanciato.
Imposta il mittente Syslog
Come detto sopra, useremo DD-WRT per questo esempio. Detto questo, Sysloginging remoto è una funzionalità supportata dalla maggior parte dei dispositivi / sistemi operativi che si rispettano. Consulta la documentazione su come configurarla.
Su DD-WRT:
- Vai a webGUI e seleziona "Servizi".
-
Seleziona la casella di controllo Abilita per "Syslogd".
Image - Nella casella di testo Server remoto, inserire l'IP / DNS del server di raccolta.
- Salva e applica affinché le impostazioni abbiano effetto.
Questo è … il tuo Syslog Watcher dovrebbe iniziare a essere popolato da eventi di sistema.
Ad esempio, se hai implementato la nostra guida "Come rimuovere gli annunci pubblicitari con Pixelserv su DD-WRT", sarai in grado di vedere qualcosa di simile al seguente:
Non tentare di utilizzare da remoto ponti spaziali …: P
